.png?w=1600&resize=1600,900&ssl=1)
In una sofisticata campagna di spionaggio rivolta a istituzioni governative e militari europee, alcuni hacker ritenuti collegati ad attori statali russi hanno utilizzato una funzionalità meno nota del protocollo RDP (Remote Desktop Protocol) di Windows per infiltrarsi nei sistemi.
Il Google Threat Intelligence Group (GTIG) ha identificato questa nuova ondata di attacchi informatici e li ha attribuiti a un gruppo denominato UNC5837.
La campagna, che è stata osservata a partire da ottobre 2024, impiega un approccio unico inviando e-mail di phishing con allegati di file .rdp. Questi file, una volta eseguiti, avviano una connessione RDP dalla macchina della vittima a un server controllato dall'aggressore senza i tipici banner di avviso di sessione interattiva.
Questo metodo, descritto come "Rogue RDP" da GTIG, consente agli aggressori di accedere ai file system della vittima, ai dati degli appunti e potenzialmente anche alle variabili di sistema, il tutto sotto le mentite spoglie di un legittimo controllo dell'applicazione.
Gli aggressori, in collaborazione con l'Agenzia statale ucraina per la sicurezza delle comunicazioni e delle informazioni, hanno inviato e-mail che sembravano provenire da organizzazioni prestigiose come Amazon e Microsoft.
Esempio di campagna
Reindirizzamento delle risorse e RemoteApps
Le e-mail contenevano file .rdp firmati, con certificati SSL validi, per aggirare le misure di sicurezza che avrebbero avvisato gli utenti di potenziali rischi.
Questi file sono configurati per mappare le risorse dal computer della vittima al server dell'attaccante: una volta eseguiti, i file .RDP hanno abilitato due vettori di attacco critici:Reindirizzamento di unità e appunti : la configurazione ha concesso agli aggressori l'accesso in lettura/scrittura a tutte le unità delle vittime, esponendo file system, variabili di ambiente e dati degli appunti, incluse le password copiate dall'utente. Le configurazioni delle macchine virtuali hanno aggravato il rischio, poiché la sincronizzazione degli appunti tra sistemi host e guest ha ampliato la superficie di furto.
RemoteApp ingannevoli : invece di un accesso completo al desktop, le vittime visualizzavano un'applicazione in finestra denominata "AWS Secure Storage Connection Stability Test". Ospitata interamente sui server degli aggressori, questa RemoteApp si mascherava da strumento locale mentre operava all'interno del canale crittografato della sessione RDP.
In particolare, gli aggressori hanno sfruttato le variabili di ambiente di Windows (%USERPROFILE%, %COMPUTERNAME%) come argomenti della riga di comando per RemoteApp, consentendo la ricognizione senza distribuire malware.
RDP dannoso
L'uso di queste funzionalità riduce l'impatto dell'attacco, rendendo più difficile per chi interviene in caso di incidente rilevare e analizzare la violazione.
GTIG ha inoltre evidenziato il potenziale utilizzo di uno strumento proxy RDP come PyRDP, che potrebbe automatizzare attività quali l'esfiltrazione di file, l'acquisizione degli appunti o il dirottamento di sessione.
Strumento PyRDPSebbene manchino prove dirette che colleghino PyRDP a questa particolare campagna, le sue capacità corrispondono ai vettori di attacco osservati:Furto delle credenziali utilizzate per l'autenticazione sui server RDP.
Acquisizione del contenuto degli appunti dell'utente, che potrebbe includere informazioni sensibili come le password.
Esecuzione del comando sul server RDP, anche se non direttamente sul computer della vittima.
Misure difensive:
Il rilevamento rimane difficile a causa della limitata registrazione nativa. Gli indicatori chiave includono:Artefatti del registro: IP e nomi utente degli aggressori in HKEY_USERS\...\Terminal Server Client\Servers
File temporanei: file .tmp generati da MSTSC in %APPDATA%\Local\Temp
Processi sospetti: scritture di file provenienti da mstsc.exe1
Per mitigare i rischi, Microsoft consiglia:
Applicazione dell'autenticazione a livello di rete (NLA) per le connessioni RDP
La scoperta di questa campagna sottolinea la necessità per le organizzazioni di rafforzare le proprie difese: bloccare i file .RDP da editori non attendibili tramite Criteri di gruppo
Disabilitazione del reindirizzamento dell'unità e limitazione dell'accesso agli Appunti
Le organizzazioni dovrebbero disabilitare l'esecuzione di file .rdp non firmati e consentire solo connessioni da editori attendibili.
Una registrazione e un monitoraggio avanzati per eventi insoliti di creazione di file originati da sessioni RDP possono aiutare a rilevare questo tipo di intrusione.
Gli utenti devono essere addestrati a riconoscere e gestire in modo sicuro gli allegati e-mail sospetti, in particolare i file .rdp provenienti da fonti sconosciute.
Con l'evoluzione di tecnologie come RDP, si evolvono anche le tattiche dei criminali informatici. L'impiego di strumenti come PyRDP in potenziali attacchi evidenzia una tendenza crescente in cui gli aggressori sfruttano le capacità di sistema esistenti per un accesso furtivo e persistente, rendendo l'aggiornamento continuo delle pratiche di sicurezza un imperativo per tutte le organizzazioni.
Nessun commento:
Posta un commento